Je ne peux pas m'empêcher de citer un de mes livres et films préférés, mais dans ce cas, la référence n'est pas inutile. 

Une norme pour les gouverner tous, c'est exactement ce qu'est ISO 19011.

Si vous avez déjà reçu un rapport d'audit de conformité, ISO 27001, ISO 9001, ISO 22301, ce rapport obéi à une logique précise. 

La norme ISO 19011 encadre la façon d'auditer et la façon de documenter ce qui a été audité. C'est elle qui dicte comment un audit se planifie, se conduit et se conclut dans un rapport.

Comprendre ISO 19011, c'est comprendre ce que l'auditeur est censé faire, comment il doit le documenter et ce que votre organisation peut légitimement exiger de lui.

Les 7 principes fondamentaux de l'audit selon ISO 19011

ISO 19011 pose sept principes qui ne sont pas des suggestions. Ce sont les fondements sur lesquels repose la crédibilité de tout rapport d'audit.

  1. Intégrité — L'auditeur agit avec honnêteté et responsabilité. Il rapporte ce qu'il constate, pas ce que le client veut entendre.
  2. Présentation impartiale — Les constats, conclusions et rapports doivent refléter fidèlement les activités d'audit.
  3. Conscience professionnelle — L'auditeur adapte la profondeur de sa vérification au profil de risque de l'organisation.
  4. Confidentialité — Les informations obtenues durant l'audit sont protégées.
  5. Indépendance — L'auditeur doit être libre de toute influence qui pourrait biaiser ses conclusions.
  6. Approche fondée sur les preuves — Les constats d'audit doivent être basés sur des preuves vérifiables.
  7. Approche fondée sur les risques — La planification et la conduite de l'audit doivent tenir compte des risques liés aux objectifs de l'audit.

Le parcours de vérification

ISO 19011 décrit un cycle en cinq étapes :

  1. Établissement du programme d'audit — Pour une organisation certifiée ISO 27001, ça veux dire un calendrier annuel d'audits internes couvrant l'ensemble du SGSI.
  2. Planification de l'audit — Chaque audit individuel commence par une planification documentée. Elle précise les objectifs, les critères, le périmètre, les méthodes.
  3. Réalisation de l'audit — Réunion d'ouverture, collecte de preuves (entretiens, observation directe, examen de documents), réunion de clôture.
  4. Production du rapport d'audit — Le rapport doit contenir: objectifs, périmètre, dates, identification de l'auditeur, constats avec base normative et preuves, conclusions.
  5. Clôture et suivi — L'organisation doit démontrer que les corrections ont été apportées pour les non-conformités identifiées.

Ce que vous pouvez exiger de votre auditeur

Si vous retenez une chose de cet article, que ce soit celle-ci : ISO 19011 vous donne des droits en tant qu'audité.

  • Un plan d'audit documenté avant le début des travaux.
  • Que chaque constat soit lié à une preuve objective et à une clause ou un contrôle précis.
  • Une réunion de clôture avant la finalisation du rapport.
  • Un rapport remis dans le délai convenu, avec le contenu minimal défini par la norme.
  • Un suivi documenté des actions correctives.

Bref, ISO 19011 n'est pas une norme optionnelle pour ceux qui aiment lire des normes. C'est le cadre qui gouverne la crédibilité de tout audit de système de management.